L’affaire a fait beaucoup de bruit. En juin dernier, plusieurs grands groupes de presse français apprenaient qu’une grande partie des données stratégiques sur leurs abonnés avait été « égarée » par leur prestataire informatique.
Dans un récent communiqué, le prestataire en question, nous apprenait que les données n’avaient pas été perdues, mais qu’elles auraient simplement été égarées suite au crash « anodin » d’un disque dur, pour finalement être réincorporées cinq jours après l’incident. Pour finir d’éteindre l’incendie, un porte-parole en charge de ce dossier sensible chez le prestataire en question déclarait récemment que « bien évidemment, les données sont triplement sauvegardées et la plupart des clients (…) ont également une réplication des données sauvegardées ». Cet incident aurait donc généré plus de peur que de conséquences lourdes. L’indisponibilité prolongée des données et celle, toujours en cours, de plusieurs sites d’abonnement, ne sont tout de même pas sans conséquences économiques pour les médias concernés.
Par ailleurs, depuis le début de l’année, une vague de ransomwares et cryptolockers (Locky en tête) déferle sur la France. Combien de TPE-PME piégées par le chiffrement de leurs données ont accepté de payer une rançon sans aucune certitude de récupérer leurs données ? Difficile à quantifier car il n’est pas dans la culture des entreprises françaises de communiquer sur le sujet mais l’on peut toutefois craindre qu’elles sont nombreuses. Or, la perte de données sensibles, tels que des bases de données clients, des rapports ou autres documents financiers ou stratégiques peut avoir un impact dramatique pour l’entreprise ; notamment pour des petites structures dont l’ensemble de l’activité peut être rapidement menacé.
Système de sauvegarde des données : le b.a. -ba de la sécurité
Les experts sécurité ne cessent de le répéter : dans le contexte actuel, où toutes les entreprises sont des cibles potentielles de cyber attaques, les solutions de sauvegarde ne sont pas une alternative de sécurité, elles sont tout simplement indispensables. Le principe est simple : mettre en place un système dupliquant automatiquement ou manuellement les données pour les mettre en sécurité. Il est également fortement recommandé d’avoir une sauvegarde locale et une sauvegarde distante afin de pouvoir palier à un incident généralisé sur le site principal.
Avec l’émergence des prestataires de cloud computing, il est par ailleurs très facile et plus économique de mettre en place des sauvegardes distantes. De plus en plus prisés, ces systèmes ont surtout pour avantage d’offrir un accès aux données à partir de n’importe quel ordinateur connecté à Internet, et de garantir une sécurité maximale. Les données sont sécurisées indépendamment du site principal et les risques de perte sont réduits, puisque le prestataire effectue lui aussi des sauvegardes. De plus, grâce au chiffrement des données, il n’y a pas de risque de fuite, même de la part de l’hébergeur, ce dernier ne pouvant pas utiliser les données de son client à son insu.
Grâce à une sauvegarde quotidienne, plutôt que de céder au chantage des cyber criminels, les entreprises victimes d’un ransomware, peuvent très rapidement et simplement récupérer leurs données sauvegardées, sans avoir à payer une « rançon », dont le résultat est souvent incertain.
Ces solutions de sauvegarde doivent toutefois être mises en œuvre en respectant quelques bonnes pratiques pour être efficaces dans le temps :
1. Vérifier tous les jours que le système de sauvegarde fonctionne correctement et que les sessions de sauvegarde s’effectuent sans erreur. Mettre en œuvre un système de notification par mail, pour être capable d’intervenir immédiatement en cas de problème technique et ainsi éviter de voir sa sauvegarde inutilisable
2. Tester la restauration : Mettre en place une routine pour s’assurer que l’on arrive à restaurer la donnée ou la machine, et effectuer des tests aléatoires très régulièrement (1 fois par semaine, 1 fois par mois, etc.) suivant la criticité de la donnée.
3. Externaliser la sauvegarde : Pour palier à une défaillance d’une sauvegarde sur site, l’entreprise peut s’appuyer sur un système de sauvegarde dans le Cloud, lui permettant également de profiter du paiement à l’usage et de l’infrastructure d’un partenaire de confiance.
4. Dans le cas d’une externalisation de la sauvegarde via le Cloud : o S’assurer de dimensionner correctement les liens réseaux par rapport au volume à transférer. L’idéal est un lien réseau dédié avec un débit symétrique. A défaut, l’entreprise peut utiliser un lien existant en s’assurant que l’opérateur permet la mise en place de QoS (Qualité de service).
5. S’assurer de quelle manière la donnée est restituée. En externalisant sa sauvegarde, l’entreprise doit s’assurer de la manière dont la donnée est restituée (remise sur disque, sur serveur physique ou redémarrage de la donnée sur une infrastructure Cloud avec un paiement à l’usage et donc seulement en cas d’incident).
Le Plan de Reprise d’Activité (PRA): un “must have” à la portée de toutes les entreprises
Le PRA permet de formaliser les processus permettant d’assurer la reprise des activités de l’entreprise. Le PRA n’englobe d’ailleurs pas uniquement l’informatique, il intègre aussi les process ou encore les hommes.
D’un point de vue informatique, le PRA peut être optimisé par la définition de deux indicateurs clés permettant de mieux planifier les actions à mener en cas d’incident de sécurité ou sinistre : le Recovery Time Objective (RTO) et le Recovery Point Objective (RPO).
· Le Recovery Time Objective est la durée maximale acceptable pendant laquelle une ressource informatique peut ne pas être fonctionnelle suite à une interruption importante de service. L’entreprise peut définir cette durée en fonction de ses impératifs ou besoins de production par exemple.
· Le Recovery Point Objective, ou en français la perte maximale de données admissibles, établit la quantité de données acceptable que l’entreprise peut être amenée à perdre suite à un incident. Cette durée est généralement estimée en heures ou en minutes, et en fonction de la fréquence des sauvegardes effectuée par l’entreprise.
Certains prestataires proposant d’accompagner les entreprises dans la mise en place de leur PRA vont jusqu’à redémarrer les données de l’entreprise en cas de crash du système. Les cas de pertes de données sensibles dans les entreprises sont légions. Les données sont en effet la proie de nombreuses menaces humaines, matérielles ou encore environnementales : une panne informatique, un disque dur endommagé, une mauvaise manipulation, un piratage ou un vol, un incendie ou une catastrophe naturelle.
Face à ce constat, PRA et sauvegardes sont plus que jamais devenus des prérequis. Ce sont les bases de la sécurité des données, à la portée de toutes les entreprises. Ces recommandations figurent d’ailleurs parmi les standards de toutes les certifications (ITIL, HDS, ISO27001).